AWS CDK CLI 및 사용자 지정 자격 증명 플러그인 관련 문제(CVE-2025-2598)
범위: AWS
콘텐츠 유형: 중요(주의 필요)
발행일: 2025/03/21 오전 7시 (태평양 표준시)
설명
AWS는 AWS 클라우드 개발 키트 (AWS CDK) 명령줄 인터페이스 (AWS CDK CLI) 버전 2.172.0부터 2.178.1까지 발생한 CVE-2025-2598 문제를 확인했습니다. AWS CDK CLI는 AWS CDK 애플리케이션을 AWS 계정에 배포하는 명령줄 도구입니다.
고객이 자격 증명 플러그인으로 AWS CDK CLI 명령을 실행하여 만료 속성을 포함하는 임시 자격 증명을 반환하도록 해당 플러그인을 구성하는 경우, 이 문제가 있으면 플러그인으로 검색된 AWS 자격 증명이 콘솔 출력에 표시될 위험이 있습니다. CDK CLI가 실행된 위치에 액세스 권한이 있는 모든 사용자가 이 출력을 볼 수 있습니다. 이 문제에 대한 수정 사항을 릴리스했으며 고객이 이 문제를 해결하려면 버전 2.178.2 이상으로 업그레이드할 것을 권장합니다. 만료 속성이 포함되지 않은 플러그인은 영향을 받지 않습니다.
고객은 다음 작업을 통해 자격 증명이 콘솔 출력에 표시되는지 확인할 수 있습니다.
- 2024년 12월 6일 이후에 시작된 CDK CLI 실행 작업을 식별합니다.
- 이러한 실행 로그를 모두 스캔하여 다음과 유사한 명령문을 찾습니다.
{
accessKeyId: '<secret>',
secretAccessKey: '<secret>',
sessionToken: '<secret>',
expiration: <date>,
'$소스': <객체.'$소스':
} - 고객이 자격 증명을 식별하면 CDK CLI가 실행된 콘솔에 액세스 가능한 사용자에게 자격 증명이 표시될 수 있습니다. 따라서 적절한 조치(적절한 조치에는 다음이 포함되지만 이에 국한되지 않음)를 취하는 것이 좋습니다.
— 플러그인에서 사용하는 AWS IAM 역할에서 가져온 모든 임시 자격 증명을 취소합니다.
- 콘솔 출력에 액세스할 수 있는 사용자를 제한합니다.
— 플러그인에서 사용하는 AWS IAM 사용자의 수명이 긴 자격 증명을 교체합니다 (있는 경우).
사용자 지정 자격 증명 플러그인에 대한 자세한 내용은 "AWS CDK CLI 라이브러리 “를 참조하십시오.
영향을 받는 버전: 2.172.0~2.178.1
해결 방법:
이 문제는 2.178.2 버전에서 해결되었습니다. 포크 또는 파생 코드가 패치된 최신 버전으로 업그레이드하여 새로운 수정 사항을 반영하세요.
참고 사항:
보안 관련 질문이나 우려 사항이 있는 경우 aws-security@amazon.com으로 문의하세요.